Peneliti keamanan di Talos Cisco telah menemukan satu peluncuran yang menyebarkan dokumen Microsoft Office dilengkapi malware, yang mana melakukan eksekusi kode pada perangkat yang ditargetkan tanpa memerlukan makro yang diaktifkan ataupun korupsi memori.
Teknik eksekusi kode tanpa makro dalam MSWord ini, dijelaskan secara rinci pada hari Senin oleh sepasang periset keamanan dari Sensepost, Etienne Stalmans dan Saif El-Sherei, yang memanfaatkan fitur bawaan MS Office, yang disebut Dynamic Data Exchange (DDE), hingga melakukan eksekusi kode.
Protokol Dynamic Data Exchange (DDE) adalah salah satu dari beberapa metode yang memungkinkan dua aplikasi berjalan dari Microsoft untuk berbagi data yang sama. Protokol ini dapat digunakan oleh aplikasi untuk transfer data satu kali dan untuk pertukaran terus menerus di mana aplikasi mengirim pembaruan satu sama lain saat data baru tersedia.
Ribuan aplikasi menggunakan protokol DDE, termasuk Microsoft Excel, MS Word, Quattro Pro, dan Visual Basic.
Teknik eksploitasi yang dijelaskan oleh para peneliti tidak menampilkan peringatan “keamanan” kepada korban, kecuali bertanya apakah mereka ingin menjalankan aplikasi yang ditentukan dalam perintah – namun, peringatan popup ini juga dapat dihilangkan “dengan modifikasi sintaks yang tepat,” kata periset .
Periset juga telah menyediakan video proof-of-concept yang menunjukkan tekniknya.
Serangan MS Word DDE Sedang Aktif Dieksploitasi
Seperti yang dijelaskan oleh periset Cisco, teknik ini ditemukan secara aktif dieksploitasi oleh peretas untuk menargetkan beberapa organisasi menggunakan email spear phishing yang dibuat agar terlihat seolah-olah dikirim oleh Securities and Exchange Commission (SEC) dan meyakinkan pengguna untuk membukanya.
“Email itu sendiri berisi lampiran berbahaya [MS Word] yang ketika dibuka akan memulai proses infeksi multi-stage yang canggih dan menyebabkan infeksi malware DNSMessenger,” tulis sebuah posting blog yang diterbitkan oleh para peneliti Talos.
Pada awal Maret, para peneliti Talos menemukan penyerang yang mendistribusikan DNSMessenger – Remote Access Trojan (RAT) yang menggunakan kueri DNS untuk melakukan perintah PowerShell berbahaya pada komputer yang dikompromikan.
Setelah dibuka, korban akan ditanyai dengan pesan yang memberitahukan bahwa dokumen tersebut berisi tautan ke file eksternal, meminta mereka untuk mengizinkan atau menolak konten yang akan diambil dan ditampilkan.
Jika diizinkan, dokumen berbahaya tersebut akan berkomunikasi dengan penyerang yang menginangi konten untuk mengambil kode yang akan dijalankan untuk memulai infeksi malware DNSMessenger.
“Menariknya, field DDEAUTO yang digunakan oleh dokumen berbahaya ini mendapatkan kode yang awalnya diserang penyerang pada situs web pemerintah negara bagian Louisiana, yang tampaknya telah dikompromikan dan digunakan untuk tujuan ini,” kata para periset.
Cara Melindungi Diri dan Mendeteksi Serangan MS Word DDE
Apa yang lebih mengkhawatirkan? Microsoft tidak menganggap ini sebagai masalah keamanan, menurut Microsoft protokol DDE adalah fitur yang tidak bisa dihapus namun bisa diperbaiki dengan peringatan-peringatan yang lebih baik bagi pengguna di masa mendatang.
Meskipun tidak ada cara langsung untuk menonaktifkan eksekusi kode DDE, pengguna dapat secara proaktif memantau log peristiwa sistem untuk memeriksa kemungkinan eksploitasi.
Selain itu, para periset di NVISO Labs juga telah membagi dua YARA-Rules untuk mendeteksi vektor DDE pada file Office Open XML.
Cara terbaik untuk melindungi diri dari serangan malware semacam ini selalu curiga dan tidak asal buka dokumen tak dikenal yang dikirim melalui email dan tidak pernah mengeklik tautan di dalam dokumen tersebut kecuali memverifikasi sumbernya dengan benar.
